ログインURL変更

ログインURL変更

ログインURL変更は、WordPress のデフォルトのログインURL（/wp-login.php）を任意のカスタムURLに変更する機能です。

なぜログインURLを変更するのか

WordPress のログインページは /wp-login.php という決まったURLにあります。攻撃者はこの既知のURLに対して自動化されたツールでブルートフォース攻撃を仕掛けます。

ログインURLを変更することで、以下のメリットがあります。

• 自動化された攻撃の遮断: ボットは /wp-login.php にアクセスするため、URL変更だけで多くの自動攻撃を無効化
• サーバー負荷の軽減: 不要なアクセスが減り、サーバーリソースを節約
• 攻撃対象の縮小: そもそもログインページの存在を知られにくくする

重要な注意点: ログインURL変更は「目隠し」であり、単独ではセキュリティの根本的な解決にはなりません。必ずブルートフォース保護やreCAPTCHAなど他の対策と併用してください。

設定方法

1. SentinelSecurity → ログインセキュリティ → ログインURL変更 セクション
2. トグルスイッチを 有効 にします
3. カスタムログインURL フィールドに新しいスラッグを入力します（例: my-secure-login）
4. 保存 をクリックします

URL設定のコツ

推奨するURL例:

• /dashboard-access/


• /team-login/


• /portal-entry/

• /admin/ — 推測されやすい


• /login/ — 推測されやすい


• /wp-admin/ — WordPress のデフォルトに近い


• 単純な単語 — 辞書攻撃で試行される可能性

動作の仕組み

URLの末尾スラッシュ

SentinelSecurity は末尾スラッシュを強制します。

• example.com/my-login/ → ログイン画面を表示
• example.com/my-login → 404 Not Found を返す

デフォルトURLへのアクセス

ログインURL変更を有効にすると、以下のURLへのアクセスは 404 ページ（テーマの404テンプレート）にリダイレクトされます。

• /wp-login.php
• /wp-login.php?action=register など、すべてのアクションパラメータ

セッションタイムアウト

管理画面で作業中にセッションが切れた場合、カスタムログインURLに自動的にリダイレクトされます。WordPress のセッションタイムアウトモーダルも、カスタムURLで正しく動作します。

URLを忘れた場合の復旧方法

方法 1: プラグインの無効化

1. FTP/SFTP でサーバーに接続します
2. /wp-content/plugins/sentinel-security/ フォルダ名を変更します（例: sentinel-security-disabled）
3. デフォルトの /wp-login.php でログインします
4. フォルダ名を元に戻し、プラグインを再有効化します
5. 設定値は自動復元されます

方法 2: データベースから確認

phpMyAdmin 等で wp_options テーブルの sentinel_security_login_settings を確認すると、設定した URL を確認できます。

注意事項

• ログインURL変更後は、新しいURLを必ずブックマークしてください
• チームで運用する場合は、新しいURLを全メンバーに共有してください
• CDNやキャッシュプラグインの設定で、新しいログインURLがキャッシュ対象外になっていることを確認してください